Công nghệ Hệ thống Giải pháp bảo mật

Cách bảo vệ PowerShell khỏi cuộc tấn công fileless từ malware RAT Remcos

Người dùng Windows nên cảnh giác cao độ với Remcos Remote Access Trojan (RAT). Phần mềm độc hại này triển khai một payload cực kỳ bí mật thông qua phishing, không cần tải xuống. Chỉ cần một cú nhấp chuột bất cẩn vào liên kết ZIP độc hại, RAT sẽ hoạt động, thực thi các ứng dụng HTML thông qua PowerShell. Từ đó, nó có thể chụp ảnh màn hình, ghi lại các lần nhấn phím và kiểm soát hoàn toàn hệ thống của bạn.

Sau đây là cách bảo vệ PowerShell của bạn khỏi RAT Remcos và bất kỳ cuộc tấn công fileless nào khác.

Mục lục bài viết

RAT Remcos chiếm quyền PowerShell để giành lấy hệ thống của bạn như thế nào?

Công ty bảo mật Qualys đã tiết lộ sự đơn giản của cuộc tấn công RAT Remcos. Nạn nhân nhận được một file ZIP chứa file LNK lừa đảo, một shortcut Windows được ngụy trang thành một tài liệu thực. Tính đến tháng 5 năm 2025, những kẻ tấn công đang sử dụng email lừa đảo có chủ đề về thuế, nhưng các biến thể trong tương lai có thể sử dụng bất kỳ thứ gì lừa bạn nhấp vào liên kết.

Khi bạn mở file LNK, nó sẽ kích hoạt một ứng dụng Windows có tên là mshta.exe (Microsoft HTML Application Host). Tiếp theo, một script PowerShell, chẳng hạn như "24.ps1" sẽ khởi chạy shellcode loader để thực thi payload RAT Remcos theo thời gian thực. Cuộc tấn công không lưu trữ bất kỳ file nào trên ổ đĩa mà hoạt động hoàn toàn trong bộ nhớ.

Ngoài ra, phần mềm diệt virus Microsoft Defender không thể hành động trong khi kẻ tấn công tạo kết nối TLS từ xa. Hiện tại, chúng đang liên kết đến một máy chủ lệnh có tên là "ReadyRestaurants DOT com". Google Chrome đã đánh dấu nó là "không an toàn". Nhưng điều này có thể thay đổi trong tương lai.

"ReadyRestaurants", một trang web bị nhiễm đóng vai trò là trung tâm chỉ huy cho phần mềm độc hại RAT Remcos.
"ReadyRestaurants", một trang web bị nhiễm đóng vai trò là trung tâm chỉ huy cho phần mềm độc hại RAT Remcos.

Lưu ý quan trọng: Windows PowerShell đã trở thành công cụ ưa thích của tội phạm mạng để thực hiện các cuộc tấn công lén lút mà không bị phát hiện. Chỉ trong tháng trước, chúng ta đã thấy điều này với phần mềm độc hại Neptune RAT, yêu cầu bạn phải tải xuống file trước.

Ngăn RAT Remcos thực thi trong PowerShell

Đầu tiên, hãy khởi chạy PowerShell với quyền admin. Sau đó, hãy kiểm tra xem nó đang ở chế độ unrestricted hay restricted.

Get-ExecutionPolicy

Nếu thiết bị của bạn được đặt thành restricted (thường là mặc định), hãy chuyển sang bước tiếp theo. Nếu không, trước tiên hãy chuyển từ unrestricted trở lại restricted. Nhấp vào A khi được yêu cầu xác nhận thay đổi này.

Set-ExecutionPolicy Restricted
Đổi "Unrestricted" trong PowerShell thành "Restricted" 
Đổi "Unrestricted" trong PowerShell thành "Restricted"

Sau khi triển khai thay đổi trên, hãy làm theo khuyến nghị của Qualys và đặt PowerShell thành Constrained Language Mode. Nó chặn quyền truy cập vào các phương thức .NET nhạy cảm và những đối tượng COM mà RAT Remcos và phần mềm độc hại tương tự thường khai thác.

$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"

Để có hiệu quả tốt nhất, hãy đảm bảo cài đặt này áp dụng cho tất cả người dùng, bao gồm cả người dùng không phải quản trị viên, ngay cả khi bạn là người duy nhất sử dụng PC.

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force
Đặt "Constrained Language Mode" trong PowerShell.
Đặt "Constrained Language Mode" trong PowerShell.

Qualys cũng khuyến nghị chặn các đối số dòng lệnh PowerShell đáng ngờ. Điều này ngăn chặn các script ẩn tiền thân, như file HTA trong những cuộc tấn công RAT Remcos, khỏi thực thi trong cửa sổ PowerShell của người dùng.

Vì RAT Remcos tận dụng shellcode PowerShell, nên có một cách để phát hiện các lệnh này. Trừ khi nó đã có sẵn trên PC của bạn, bạn có thể cần phải tạo thủ công đường dẫn registry bị thiếu cho "PowerShell" và "ScriptBlockLogging".

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Force
New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
Tạo đường dẫn registry bị thiếu cho "PowerShell" và "ScriptBlockLogging" trong PowerShell.
Tạo đường dẫn registry bị thiếu cho "PowerShell" và "ScriptBlockLogging" trong PowerShell.

Bây giờ, hãy bật lệnh “ScriptBlockLogging” và đặt giá trị của lệnh này thành 1. Lệnh này sẽ ngăn RAT Remcos và các phần mềm độc hại khác chạy shellcode loader trong PowerShell.

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" -Name "EnableScriptBlockLogging" -Value 1
Giá trị "ScriptBlockLogging" được đặt thành 1 trong PowerShell. Lệnh này sẽ chặn các script không mong muốn.
Giá trị "ScriptBlockLogging" được đặt thành 1 trong PowerShell. Lệnh này sẽ chặn các script không mong muốn.

Có một lệnh liên quan khác để chặn các đối số dòng lệnh đáng ngờ bằng cách sử dụng những script ẩn.

New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell" -Name "CommandLineFiltering" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\PowerShell\CommandLineFiltering" -Name "EnableCommandLineFiltering" -Value 1
"Command Line Filtering" được bật trong PowerShell
"Command Line Filtering" được bật trong PowerShell

Điều cần biết: Sự gia tăng gần đây của các script do AI tạo ra trong PowerShell là một yếu tố lớn khiến tác giả phần mềm độc hại dễ dàng tạo ra những script mới để nhắm mục tiêu vào các hệ thống.

Lưu ý: Một số trang web đề xuất tắt PowerShell đối với người dùng không phải quản trị viên. Chúng ta sẽ không đi đến phương án cực đoan đó vì việc sử dụng tài khoản Windows không phải quản trị viên có nhiều lợi thế. Thứ nhất, nó bảo vệ bạn khỏi các mối đe dọa mạng đánh cắp thông tin đăng nhập, chẳng hạn như NT LAN Manager (NTLM).

Tắt MSHTA.exe để ngăn RAT Remcos thực thi

RAT Remcos sử dụng một ứng dụng hệ thống phổ biến trên PC Windows có tên là “mshta.exe”. Ứng dụng này nằm trong “C:\Windows\System32”.

Ngày nay, việc tắt mshta.exe hoàn toàn ổn. Ứng dụng này rất hiếm khi được sử dụng, ngoại trừ trong các ứng dụng cũ như Internet Explorer hoặc file macro Office. Từ phiên bản Windows 11 24H2 trở đi, ứng dụng này đã bị loại bỏ hoàn toàn.

File ứng dụng mshta.exe có thể xem được trong thư mục System32.
File ứng dụng mshta.exe có thể xem được trong thư mục System32.

Vì mshta.exe vận hành các file ứng dụng HTML (HTA), nên nó được sử dụng để chạy VBScript hoặc JavaScript bên ngoài trình duyệt có đầy đủ đặc quyền hệ thống.

Trong Windows 11 Pro, nhập gpedit.msc vào lệnh Run để đi đến Local Group Policy Editor. Đi theo đường dẫn này: Computer Configuration -> Windows Settings -> Security Settings -> Software Restriction Policies.

Xem "Software Restrictions Policies" trong Local Group Policy Editor trong Win 11 Pro.
Xem "Software Restrictions Policies" trong Local Group Policy Editor trong Win 11 Pro.

Nếu không có policy nào tồn tại, hãy nhấp chuột phải để tạo policy bảo mật mới bằng cách chọn New Software Restriction Policies. Sau khi tạo xong, trong mục Additional Rules, hãy nhấp chuột phải và chọn New Path Rule.

Nhấp chuột phải để thêm New Path Rule vào Additional Rules trong cài đặt bảo mật policy nhóm.
Nhấp chuột phải để thêm New Path Rule vào Additional Rules trong cài đặt bảo mật policy nhóm.

Đổi tên đường dẫn này thành C:\Windows\System32\mshta.exe. Đặt mức bảo mật thành Disallowed và nhấp vào Apply -> OK.

Trên các thiết bị Windows 11/10 Home không có Group Policy Editor, có một cách khác. Khởi chạy Windows Security và đi tới App & Browser Control -> Exploit Protection -> Exploit Protection Settings -> Program Settings. Tại đây, nhấp vào Add program to customize.

Nhấp vào Add program to customize trong Exploit Protection Settings trên Windows 11 Home.
Nhấp vào Add program to customize trong Exploit Protection Settings trên Windows 11 Home.

Các tùy chọn trên sẽ hiển thị hai tùy chọn. Nhấp vào Choose exact file path. Nó sẽ mở cửa sổ File Explorer. Điều hướng đến vị trí file mshta.exe và nó sẽ mở trong một cửa sổ pop-up khác.

Bây giờ, bạn chỉ cần tắt tất cả các policy mshta.exe ghi đè lên những biện pháp phòng ngừa của hệ thống. Nếu các policy này đã được tắt, bạn không cần phải làm gì cả.

Tắt tất cả các policy mshta.exe trong Windows Security.
Tắt tất cả các policy mshta.exe trong Windows Security.

Các phương pháp khác để ngăn chặn khai thác từ xa trong PowerShell

Sau đây là một số điều khác bạn có thể làm để ngăn chặn RAT Remcos và những khai thác từ xa khác thực thi trong PowerShell.

  • Đầu tư vào phần mềm bảo vệ điểm cuối Windows, chẳng hạn như Microsoft Defender, là một sản phẩm khác với Windows Security.
  • Cập nhật và vá hệ thống của bạn thường xuyên. Di chuyển sang phiên bản 24H2 trong Windows 11 sẽ cung cấp các bản vá kịp thời cho những mối đe dọa mới nhất này.
  • Triển khai bộ lọc email và bảo vệ chống phishing trên các email trình duyệt web được sử dụng trên các thiết bị Windows.
Thứ Năm, 22/05/2025 17:12
31 👨 204
#Microsoft Excel

Bạn nên đọc

Xác thực tài khoản!

Theo Nghị định 147/2024/ND-CP, bạn cần xác thực tài khoản trước khi sử dụng tính năng này. Chúng tôi sẽ gửi mã xác thực qua SMS hoặc Zalo tới số điện thoại mà bạn nhập dưới đây:

Số điện thoại chưa đúng định dạng!
Số điện thoại này đã được xác thực!
Bạn có thể dùng Sđt này đăng nhập tại đây!
Lỗi gửi SMS, liên hệ Admin
0 Bình luận
Sắp xếp theo
❖
Xóa Đăng nhập để Gửi
    ❖ Hệ thống

    Cũ vẫn chất

    Xem thêm

    Có thể bạn quan tâm

    Chia sẻ
    Chia sẻ FacebookChia sẻ Twitter
    Đóng